Öffentliche S/MIME Schlüssel (Public Keys) über DFN-PKI suchen und importieren
PKI
S/MIME
Sicherheit
GPG
PGP
bash
Autor:in
Johannes Titz
Veröffentlichungsdatum
26. März 2022
Bisher habe ich für die Verschlüsselung und das Signieren von E-Mails GPG (OpenPGP) genutzt, welches auf der Idee vom Web of Trust basiert. Erst kürzlich habe ich gelernt, dass S/MIME im Grunde genau so funktioniert wie GPG, nur eben ohne Web of Trust, sondern mit einer hierarchischen Struktur. Hat man ein S/MIME Zertifikat, so wurde es von einer höheren Stelle ausgestellt, was jeder auch leicht nachprüfen kann. Fürs Signieren von Dokumenten ist das ein klarer Vorteil. Jeder sieht, dass die Unterschrift wirklich von einer bestimmten Person stammt.
Da aufgrund von Corona sowieso alles digital abläuft und zumindest an der Universität auch eingescannte Unterschriften teilweise akzeptiert werden, wäre die Nutzung digitaler Unterschriften viel effizienter und sicherer. Daher habe ich jetzt auch ein S/MIME-Zertifikat bentragt. Über die Universiäten ist das meist kostenfrei möglich und die Zertifikate sind für drei Jahre gültig. Üblicherwise wird die Private key Infrastructure (PKI) des deutschen Forschungsnetzes (DFN) genutzt.
In diesem Zuge habe ich mich gefragt, wie man an die öffentlichen Schlüssel von Personen kommt, denen man eine E-Mail schreiben möchte. Man kann natürlich die Personen auffordern, ihren Schlüssel an eine Mail anzuhängen. Aber was, wenn man eine unbekannte Person anschreiben möchte? Geht das überhaupt? Klar, denn die Public Keys befinden sich im Verzeichnisdienst der DFN-PKI (https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15074). Allerdings ist die Prozedur etwas knifflig, denn der Dienst läuft über LDAP und bei Konfiguration z. B. über Thunderbird, wird das entscheidende Attribut (userCertificate) natürlich nicht angezeigt. Über ldapsearch (Paket openldap) geht’s aber doch sehr einfach unter GNU/Linux:
Der sed-Befehl löscht alles vor und nach dem Public Key.
In Thunderbird importieren über Account Settings, End-To-End-Encryption, Manage S/MIME Certificates, Import. Name, Mailadresse usw. sind schon im Zertifikat kodiert.